Nous nous efforçons de mettre en évidence les risques de sécurité propres à chaque secteur, et de proposer des conseils et bonnes pratiques pour renforcer l'environnement de sécurité. Des soins de santé, au secteur manufacturier en passant par l'éducation, les services financiers, le secteur public, l'énergie et les services aux collectivités — nous nous penchons, dans notre série des « 5 du vendredi », sur les risques et les moyens de les atténuer. Aujourd'hui, nous évoquons les risques pour la sécurité et vous livrons nos conseils à l'attention des petites et moyennes entreprises.
Les petites entreprises sont-elles trop petites pour être la cible de cyberattaques ? Cela revient à se dire que les informations de votre entreprise sont à ce point insignifiantes qu’elles n’intéresseront pas les pirates. C’est complètement faux. Pour un pirate, les petites entreprises représentent des cibles plus lucratives, car ce sont elles qui opposent le moins de résistance.
Les PME-PMI sont souvent jugées trop petites pour intéresser les pirates. Ce postulat, en plus d'être répandu, est dangereux. Selon une étude de Vodafone publiée en mars 2021, plus d'un million de petites entreprises mettraient la clé sous la porte si elles étaient la cible de pirates informatiques.
En plus de ne pas toujours pouvoir se permettre de payer une rançon, les petites structures ne disposent pas non plus de réserves suffisantes pour survivre à une interruption de service prolongée.
La triste vérité est que les petites et moyennes entreprises font fréquemment l'objet d'attaques qui connaissaient un certain succès – qu'il s'agisse d'attaques par injections de logiciels malveillants, de violations de données ou de tentatives de connexion par force brute.
Top 5 des risques de sécurité pour les PME-PMI
Étudions tout d'abord les raisons pour lesquelles les petites et moyennes entreprises sont plus, et non moins, touchées que les grands groupes.
1. Le manque de ressources dédiées à la sécurité, un phénomène courant
Les petites entreprises sont moins susceptibles d'avoir une ressource dédiée à la sécurité de leurs systèmes d'information, comme un directeur ou une directrice des systèmes d'information (DSI) ou un(e) responsable de la sécurité des systèmes d'information (RSSI). La sécurité est souvent reléguée en queue des priorités, voire complètement oubliée. Or, sans les ressources appropriées, une violation de données peut rester longtemps sous les radars.
2. Des budgets (beaucoup) plus limités
Les petites entreprises sont moins susceptibles d'avoir de gros budgets. Elles peuvent par conséquent être tentées d'économiser sur les coûts de la sécurité. Or, tant qu'elles n'ont pas subi d'attaque ou de perte de données, l’intérêt financier que représente un investissement dans la sécurité ne leur semble pas toujours évident au premier abord. Et au moment de trancher sur les priorités d’investissement, les décideurs orientent leurs choix vers des postes à rentabilité plus immédiate et plus visible.
3. La sécurité n'est pas dans l'ADN de l'entreprise
Les petites entreprises ont souvent été créées par une personne experte dans son domaine. L’organisation ne reflète pas forcément les bonnes pratiques en matière de sécurité. D'autres besoins ainsi que les impératifs d'efficacité des workflows risquent de primer sur la sécurité.
4. Des fonds d'urgence limités, voire inexistants
L’impact d'une violation des données sur une petite entreprise est plus lourd que sur un grand groupe. En plus de disposer de ressources financières supérieures, les grandes entreprises peuvent également survivre à des périodes de perte de revenus prolongées.
5. Les effets dévastateurs d’une paralysie totale ou partielle
Une violation de données peut entraîner l'arrêt de tous les processus. L'entreprise est alors dans l'incapacité de poursuivre ses activités. Pour une petite entreprise, il est souvent impossible de basculer sur une autre division, un autre serveur ou un autre pays pour assurer la continuité de ses activités.
De nombreuses autres raisons l’en empêchent — même si les PME-PMI ne sont pas toutes logées à la même enseigne. En effet, certaines excellent sur le plan de la sécurité — et nous tenons à les féliciter !
Toutefois, lorsqu'une petite entreprise n'est pas préparée aux attaques cyber, le bilan peut être lourd. Non seulement les attaques peuvent faire plus de mal aux petites entreprises qu'aux grandes, mais les offensives contre elles sont souvent plus ciblées, et connaissent un certain succès. Qu’importe leur taille, les cybercriminels tenteront leur chance si l'effort d’attaque à fournir en vaut la chandelle… soyez-en sûr.
Sécurité pour les PME : nos meilleurs conseils et bonnes pratiques
Que peuvent donc faire les entreprises pour établir un environnement sécurisé ? Comme toujours, il s'agit de combiner plusieurs mesures, car une seule action ne saurait suffire.
Documentation
Souvent, une PME-PMI attribue la responsabilité de la sécurité de l'information à une personne. Mais que se passe-t-il si cette personne part ? Tout s’effondre. Il faut donc absolument documenter les processus et établir des protocoles pour éviter qu'un changement de personnel mette en péril la sécurité de l'entreprise.
Mots de passe sûrs et authentification multifacteur (MFA)
123456 n'est pas un mot de passe sûr. Pas plus que Motdepasse123. On recommande qu'un mot de passe soit composé d'une combinaison d'au moins 12 lettres, chiffres et caractères spéciaux, formant un mot qui ne se trouve PAS dans le dictionnaire. Ainsi fiI3d%j”)40M pourrait être un bon choix. Ces mots de passe doivent également être conservés en sécurité, soit en les mémorisant, soit à l’aide d’un gestionnaire de mots de passe. L'authentification multifacteur (qui combine par exemple un nom d'utilisateur, un mot de passe, une empreinte digitale et/ou un code à usage unique par SMS) renforce d’un cran la sécurité des identifiants de connexion.
Employee training
Vos employés sont votre dernière barrière défensive. Mais ils peuvent aussi être votre point faible. Après tout, l'erreur est humaine. Faites de la formation à la sécurité une priorité. Armés de connaissances et de stratégies, vos employés réfléchiront avant d'agir lorsqu'un logiciel malveillant ou une attaque de spear phishing (hameçonnage ciblé) atterrira dans leur boîte aux lettres.
Vous devez aussi règlementer l’utilisation du BYOD (Bring Your Own Device). Vos employés sont-ils autorisés à installer les systèmes de l'entreprise sur leurs appareils personnels ? Peuvent-ils accéder à votre réseau et au WiFi ? Serez-vous en mesure de supprimer leurs accès et installations si ces personnes quittent l'entreprise ?
L'approche de la sécurité à plusieurs niveaux
La sécurité n'est jamais une solution universelle. Une seule tactique ne suffira jamais à vous protéger. Investissez dans un logiciel antivirus et anti-spyware. Configurez la protection du pare-feu. Gérez les accès avec l'authentification multifactorielle. Chiffrez vos données au repos et en transit. Signez vos documents et vos e-mails. Tous ces éléments vous aideront à construire votre ligne de défense. Une fois tout cela mis en place, assurez-vous que les mises à jour sont régulièrement effectuées.
Sauvegardes
Sur la question des sauvegardes, retenez deux choses : a) vérifiez régulièrement qu'elles sont à jour et b) sauvegardez vos données plus d'une fois vers différentes sources.
Les gros piratages sont les plus médiatisées, comme les récentes vulnérabilités d'Exchange Server, le piratage massif de Twitter ou l'attaque contre Magellan, un prestataire de soins de santé. Mais attention : ce n'est pas parce que ces attaques font la une des médias que les petites entreprises n’essuient pas les salves de cyber-assaillants.
GlobalSign peut aider votre petite ou moyenne entreprise (mais aussi les grandes !) à mettre en place un environnement de sécurité robuste. Contactez-nous pour discuter de vos besoins avec l'un de nos experts.
